Uwaga na złośliwe pakiety - pobrano je ponad 75 000 razy. GitHub musi się zmienić

Publiczne repozytoria kodu źródłowego, takie jak GitHub, PyPI czy npm, od lat stanowią fundament współczesnego oprogramowania open source. Jednak ich otwarty charakter stał się jednocześnie piętą achillesową bezpieczeństwa w świecie IT. Z najnowszych analiz wynika, że platformy te są masowo wykorzystywane przez cyberprzestępców jako narzędzia do wieloletnich kampanii złośliwego oprogramowania.

Zespół badawczy z ReversingLabs ujawnił niedawno kolekcję aż 67 zainfekowanych repozytoriów GitHub, zawierających zmodyfikowane wersje narzędzi wykorzystywanych przez programistów i graczy. Autorzy ataku, działający pod kryptonimem Banana Squad, umieszczali złośliwe pakiety również na popularnej platformie dystrybucji bibliotek Python – PyPI.

Według analityków, celem było przejęcie danych użytkowników systemu Windows – od danych logowania, przez sesje przeglądarek, aż po zasoby kryptowalutowe. Pakiety te zostały pobrane ponad 75 000 razy, co oznacza, że mogły wpłynąć na dziesiątki, jeśli nie setki projektów i systemów produkcyjnych.

Punktem zapalnym śledztwa było repozytorium steam-account-checker, które – jak wykazało dochodzenie SANS Internet Storm Center – ukrywało moduły kradnące dane z portfeli kryptowalut Exodus i przesyłało je na serwer zarejestrowany pod adresem dieserbenni.ru. Analiza ujawniła, że podobny kod znajdował się w dziesiątkach innych repozytoriów.

Przestępcy celują w graczy

Jak donosi The Hacker News, zainfekowane repozytoria były często maskowane jako narzędzia dla graczy i influencerów: m.in. do czyszczenia kont Discord, oszukiwania w grze Fortnite, weryfikacji kont TikTok i PayPal. Ofiarami padały głównie osoby młode, nieposiadające odpowiedniego przeszkolenia w zakresie cyberbezpieczeństwa.

Wszystkie odkryte repozytoria zostały już usunięte przez administrację GitHub, ale eksperci ostrzegają: ten model ataku ma charakter systemowy i będzie się powtarzać.

Kolejne grupy, kolejne kampanie

Zaledwie kilka dni później firma Trend Micro opublikowała własny raport, w którym zidentyfikowano 76 kolejnych zainfekowanych repozytoriów GitHub, powiązanych z grupą o nazwie kodowej Water Curse. Złośliwe pakiety kradły dane dostępowe, tokeny sesji, informacje o przeglądarce i umożliwiały zdalne zainstalowanie tzw. backdoorów – czyli tylnego wejścia do systemu ofiary.

Z kolei zespół Check Point ujawnił kampanię celującą w graczy Minecrafta. Przestępcy utworzyli sieć kont GitHub znaną jako Stargazers Ghost Network, za pomocą której rozpowszechniali złośliwe pliki oraz linki phishingowe.

W innym przypadku, badanym przez Checkmarx, hakerzy regularnie aktualizowali swój złośliwy kod, maskując go jako przydatne narzędzia programistyczne. Dzięki temu nie tylko unikali wykrycia, ale także sztucznie podbijali popularność pakietów w repozytorium, wynosząc je na szczyt listy wyników wyszukiwania.

Młodzi hakerzy – nieświadome ofiary?

Jednym z najciekawszych przypadków była kampania ujawniona przez Sophos na początku czerwca 2025 roku. Atak skierowany był... do hakerów. Przestępcy umieszczali w repozytoriach „gotowe do użycia” narzędzia zdalnego dostępu, m.in. Sakura-RAT, które po uruchomieniu infekowały również systemy atakujących – instalując infostealery i inne złośliwe komponenty.

Zidentyfikowano aż 133 takie repozytoria, a według badaczy kampania trwa od 2022 roku i obejmuje tysiące kont GitHub. Wygląda na to, że przestępcy dosłownie „podsłuchują” świat cyberprzestępczości i infekują narzędzia używane przez mniej zaawansowanych hakerów.

Potrzeba nowych standardów bezpieczeństwa

GitHub i inne platformy już teraz wdrażają kolejne mechanizmy automatycznego wykrywania zagrożeń, ale jak pokazują ostatnie kampanie, cyberprzestępcy są o krok przed nimi. Otwartość repozytoriów – ich największa zaleta – może stać się ich największym przekleństwem, jeśli nie zostanie wsparta solidną polityką bezpieczeństwa i edukacją użytkowników.